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(54) Title: SYSTEM FOR CONTROLLING ACCESS AUTHORIZATION 
(54) Bezeichnung: SYSTEM ZUR KONTROLLE DER ZUGANGSBERECHTIGUNG 
(57) Abstract 

The invention relates to a system for controlling access 
authorization, comprising a base device (BG) which receives 
a code word (CWx) containing a response (Rx). A computer 
( 1 6) compares the response (Rx) with a reference response (Sx). 
Access authorization is granted if the response (Rx) and the 
reference response (Sx) match. A remote control (Fl, ... Fx, ... 
Fn) transmits the code word (CWx). The system is characterized 
in that a challenge (Cx) transmitted by the base device (BG) is 
stored in the remote control (Fl, ... Fx, ... Fn) to generate the 
code word (CWx). 

(57) Zusammenfassung 

Es wird ein System zur Kontrolle der Zugangsberech- 
tigung vorgeschlagen. Es umfaBt ein Basisgerat (BG), das ein 
Codewort (CWx) empfangt, das eine Response (Rx) enthalt. 
Ein Rechner (16) vergleicht die Response (Rx) mit einer 
Sollresponse (Sx). Eine Zugangsberechtigung erfolgt bei 
Obereinstimmen von Response (Rx) und Sollresponse (Sx). 
Eine Fembedienung (Fl, ... Fx, ... Fn) sendet das Codewort 
(CWx). Das System zeichnet sich dadnrch aus, da6 in der 
Fembedienung (Fl, ... Fx, ... FN) eine vom Basisgerat (BG) 
gesendete Challenge (Cx) gespeichert ist zur Generierung des 
Codeworts (CWx). 
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# 
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10 

System zur Kontrolle der Zn ganosberechtiaiing 
Stand der Technik 

15 Die Erfindung geht aus von einem System zur Kontrolle der 

Zugangsberechtigung nach der Gattung des unabhangigen 
Anspruchs . Aus der DE 44 28 947 CI ist bereits eine 
SchlieSvorrichtung fur ein Kraf tf ahrzeug mit einer 
Betatigungseinrichtung sowie mit einem Transponder bekannt . 

20 Bei Betatigung eines Senders ist ein 

Fernbetatigungswechselcodewort erzeugbar, das eine 
Decodiereinrichtung empfangt, mit einem in der 
Decodiereinrichtung gespeicherten 

Fernbetat igungswechselcodesignal vergleicht und in 
25 Abhangigkeit von dem Vergleich ein Entriegelungssignal 

erzeugt . Zur Erhdhung der Sicherheit ist daruberhinaus ein 
Transponder vorgesehen, dessen Wechselcodesignal zusatzlich 
fur eine Freigabe ausgewertet wird. 

3 0 Der Erfindung liegt die Aufgabe zugrunde, obengenanntes 

System zu vereinf achen, ohne einen Sicherheitsverlust zu 
erleiden. Die Aufgabe ist durch die kennzeichnenden Merkmale 
des unabhangigen Anspruchs gelost . 
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Das erf indungsgemafce System zur Kontrolle der 
Zugangsberechtigung umfaSt ein Basisgerat, das ein Codewort 
empfangt. Das Codewort enthalt eine Response, die ein 
Rechner mit einer Sollresponse vergleicht . Eine 
Zugangsberechtigung erfolgt bei Ubereinstimmen von Response 
und Sollresponse. Zumindest eine Fernbedienung sendet das 
Codewort. Das erf indungsgemafie System zeichnet sich dadurch 
aus, dafi in der Fernbedienung eine vom Basisgerat gesendete 
Challenge gespeichert ist zur Generierung des Codeworts . 
Diese Challenge ist identisch mit derjenigen eines bereits 
in der Vergangenheit erfolgreich durchgef uhrten Challenge- 
Response -Verfahrens . Die Challenge gibt somit einen Hinweis 
auf eine Berechtigung der Fernbedienung. Dadurch werden 
Manipulationsmoglichkeiten eingeschrankt . Andererseits ist 
fur den Start einer Zugangsberechtigungsprozedur ein 
erneutes bidirektionales Challenge -Response -Verfahren nicht 
mehr notwendig, da die Challenge bereits in dem Speicher der 
Fernbedienung hinterlegt ist. Auf diese Weise laSt sich das 
Codewort bereits mit einer grofceren Reichweite an das 
Basisgerat senden, wahrend die Challenge-Response-Prozedur 
nur im Nahbereich durchgef uhrt werden kann. Damit ist eine 
Entkopplung zwischen bidirektionaler Datenubertragung und 
unidirektionaler Datenubertragung gewahrleistet . In der 
Fernbedienung ist lediglich ein Sender groSerer Reichweite 
vorzusehen, nicht jedoch ein entsprechender Empf anger fur 
den Fernbereich. Die Challenge kann zur Synchronisation 
zwischen Basisgerat und Fernbedienung verwendet werden. 
Zudem sind weder im Basisgerat noch in der Fernbedienung die 
fur die Zugangsberechtigung unmittelbar maSgebliche Response 
bzw. Sollresponse abgespeichert , so dafi der direkte Zugriff 
auf diese sicherheitsrelevanten Inf ormationen nicht moglich 



ist 



in einer zweckmaSigen Weiterbildung ist die Sollresponse in 
Abhangigkeit von einer in der Fernbedienung hinterlegten und 
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im Codewort enthaltenen Kennung gebildet. Dadurch wird eine 
eindeutige Zuordnung zwischen der verwendeten Fernbedienung 
und der zugehorigen, im Basisgerat abgelegten 
Verschliisselung erreicht . Die eindeutige Zuordnung 
gewahrleistet eine hinreichend hohe Sicherheit gegen 
unberechtigte Manipulationsversuche . Dadurch kann der 
Algorithmus , der in der Fernbedienung die gespeicherte 
Challenge - beispielsweise unter Verwendung einer 
f ernbedienungsspezif ischen Kennung - zu einer Response 
verschliisselt , einfach ausf alien und in einem 
Mikrocontroller integriert sein. 

In einer Ausgestaltung wird die im Basisgerat hinterlegte 
Challenge nach einer vorgegebenen Zahl fehlender 
Ube r e ins t immungen von Response und Sollresponse geloscht. 
Damit ist bei einer Anzahl mi&lungender Of f nungsversuche 
gewahrleistet, da£ eine Zugangsberecht igung bei weiterem 
Probieren nicht mehr erf olgt . Ein erneuter Of f nungsversuch 
ist nur in Verbindung mit einem erfolgreich durchlauf enden 
Challenge-Response-Verf ahren zuzulassen. Bei Scheitern der 
Zugangsberecht igung iiber das unidirektionale Protokoll 
werden die Sicherhei tsanf orderungen erhoht , indem ein Zugang 
nur in Verbindung mit dem komplexen bidirektionalen 
Protokoll erreicht werden kann. 

Eine vorteilhafte Ausgestaltung sieht vor ; da£ im Codewort 
ein Zahlercode enthalten ist, der von dem Basisgerat mit 
einem Referenzcode verglichen wird. Nur bei einer Abweichung 
erf olgt eine Zugangsberechtigung . Der Zahlercode wird mit 
der Betatigung eines Bedienelements der Fernbedienung 
verandert. Ein Senden des eben abgehorten Codeworts lost 
keine Zugangsberechtigung aus. Im Codewort kann der 
Zahlerstand sowohl unverschliissel t als auch verschlusselt 
vorhanden sein. 
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Als Referenzcode ist ein gesendeter Code verwendet . Eine 
separate Zahlerf unkt ion im Basisgerat ist hierfur nicht 
vorzusehen . 

ZweckmaEig erf olgt die Ubertragung des Codeworts 
hochf requent und die Ubertragung der Challenge 
niederf reguent . Aufgrund der gespeicherten Challenge 
benotigt die Fernbedienung keinen Empf anger im 
Hochf requenzbereich . 

Weitere zweckmaSige Wei terbildungen ergeben sich aus 
weiteren abhangigen Anspruchen und aus der Beschreibung . 

Zeichnung 

Zwei mogliche Ausf uhrungsbei spiele eines erf indungsgemaEen 
Systems zur Kontrolle der Zugangsberechtigung sind in der 
Zeichnung dargestellt und in der nachf olgenden Beschreibung 
naher erlautert . Es zeigen die Figuren 1 und 2 ein 
Blockschaltbild und eine Zugangsberechtigungsprozedur eines 
ersten Ausf uhrungsbei spiels , die Figuren 3 und 4 ein 
Blockschaltbild und eine Zugangsberechtigungsprozedur eines 
zweiten Aus f uhrungsbei spiel s . 

Beschreibung 

Mehrere Fernbedienungen Fl ( ... Fx, ... Fn kommunizieren mit 
einem Basisgerat BG, das einen Sender /Empf anger 12 und einen 
Rechner 16 umfaSt. Der Rechner 16 tauscht Daten aus mit dem 
Sender/Empf anger 12 und hat Zugriff auf im Speicher 
hinterlegten Challenges CI, ... Cx, ... Cn, Kennungen Kl , 
. . ., Kx, ... Kn und einen Grenzwert G. Exemplarisch ist der 
Aufbau der x-ten Fernbedienung Fx gezeigt. Ein 
Fe rnbedi enungs r e chne r 20 hat Zugriff auf die im Speicher 
hinterlegte Kennung Kx und Challenge Cx. Er gibt Daten an 
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den Sender 22 ab und tauscht Daten aus mit einem 
Fernbedienungs-Sender/Empf anger 26. Der von einem 
Bedienelement 24 beeinflufcte Signalzustand ist dem 
Fernbedienungsrechner 20 zugefuhrt. 

Das zweite Ausf uhrungsbeispiel gemaS Figur 3 unterscheidet 
sich von dem ersten Ausf uhrungsbeispiel gemafi Figur 1 
dadurch, da£ in dem Basisgerat BG anstelle des Grenzwerts G 
ein Speicher fur einen Referenzcode RZ1, ... RZx, ... RZn 
vorgesehen ist. Die Fernbedienung Fx weist ein zusatzliches 
Feld fur einen Zahlercode Zx auf . 

Im folgenden wird die Funktionsweise des in Figur l 
dargestellten ersten Ausf iihrungsbeispiels naher erlautert . 
In dem Basisgerat BG ist fur jede Fernbedienung Fl , ... Fx, 

Fn eine entsprechende Kennung Kl , ... Kx, ... Kn 
hinterlegt. Dadurch kann das Basisgerat BG jede einzelne 
Fernbedienung Fx bzw. jede Fernbedienungsgruppe Fx - wenn 
beispielsweise einer Kennung Kx mehrere Fernbedienungen Fx 
zugeordnet sind - eindeutig identif izieren . Diese Kennungen 
Kl, ... Kx, Kn konnen die entsprechenden Speicherplatze 

sein beziehungsweise anhand des Speicherplatzes erkannt 
werden. Im Challenge-Response-Verf ahren sendet das 
Basisgerat die Challenge Cx an die durch die Kennung Kx 
eindeutig zugeordnete Fernbedienung Fx. Ein Zuf allsgenerator 
erzeugt diese Challenge Cx. Der Rechner 16 speichert die 
gesendete Challenge Cx in einem uber die Kennung Kx 
. addressierten Speicherplatz . Der Fernbedienungsrechner 20 
legt die vom Basisgerat BG zuletzt gesendete Challenge Cx in 
einem Speicher ab . 

Der Benutzer startet die unidirektionale Kommunikation der 
Fernbedienung Fx mit dem Basisgerat BG, indem er das 
Bedienelement 24 betatigt, Schritt 101. Der 
Fernbedienungsrechner 20 verknupft die im Speicher 



WO 99/29986 




PCT/DE98/03431 



- 6 - 



hinterlegte Challenge Cx unter Verwendung einer fur die 
spezielle Fernbedienung Fx f ernbedienungsspezif ischen 
Information mit einem Algorithmus , woraus die Response Rx 
entsteht. Als f ernbedienungsspezif ische Information ist 
beispielsweise ein Teil der Kennung Kx, ein in der 
Fernbedienung Fx fest hinterlegter Herstellercode verwendet . 
Wesentlich ist jedoch, dafi diese Verschlusselung, das heiSt 
Algorithmus und f ernbedienungsspezif ische Inf ormationen, der 
Challenge Cx fur jede Fernbedienung Fx auch im Basisgerat BG 
bekannt und hinterlegt ist. In dem Codewort CWx sind die 
Kennung Kx und die Response Rx, gegebenenf alls entsprechende 
Aufweck- und Aktionsbef ehle , enthalten. Der Sender 22 sendet 
das Codewort CWx an das Basisgerat BG, Schritt 103. Der 
Rechner 16 filtert aus dem empfangenen Codewort CWx die 
Kennung Kx. Der Rechner 16 wahlt die mit dieser Kennung Fx 
addressierte Challenge Cx und Verschlusselung aus, mit denen 
auch in der Fernbedienung Fx die Response Rx ermittelt 
wurde. Der Rechner 16 berechnet aus der im Basisgerat BG 
hinterlegten Challenge Cx, dem Algorithmus und der 
f ernbedienungsspezif ischen Information, also der 
Verschlusselung, die Sollresponse Sx, Schritt 105. Im 
Basisgerat BG werden empfangene Response Rx und berechnete 
Sollresponse Sx verglichen, Schritt 107. Bei Ubereinstimmung 
gibt der Rechner 16 ein entsprechendes Freigabesignal , 
Schritt 109- Andernfalls folgt die Abfrage 111, ob die 
Anzahl der mifilungenen Of f nungsversuche M bereits einen 
vorgebbaren Grenzwert G uberschritten hat. Ist dies der 
Fall, wird kein weiterer Of f nungsversuch zugelassen, Schritt 
113 . Zudem wird die im Basisgerat BG gespeicherte Challenge 
Cx geloscht. Eine Zugangsberechtigung kann somit nur durch 
einen erf olgreichen Durchlauf der bidirektionalen Challenge - 
Response -Prozedur, nicht jedoch mit dem beschriebenen 
unidirektionalen Protokoll erreicht werden. Hat die Anzahl 
der miSlungenen Of f nungsversuche M den Grenzwert G noch 
nicht uberschritten, wird die Anzahl M inkrementiert , 
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Schritt 115. Hieran schlieEt sich Schritt 105 an, das 
weitere Vorgehen lauft ab wie bereits beschrieben . 

Die Schritte ab 111 erhohen die Sicherheit der 
unidirektionalen Dateniibertragung, sind jedoch nicht 
unbedingt er f orderl i ch . 

Das im folgenden beschriebene zweite Ausf uhrungs be i spiel 
bezieht sich auf die Figuren 3 und 4. Wie bereits fur das 
erste Ausf uhrungsbeispiel ausgefuhrt, ist in der 
Fernbedienung Fx die Challenge Cx gespeichert. In der 
Fernbedienung Fx ist ein Zahlercode Zx gespeichert, der bei 
Betatigung des Bedienelements 24 inkrementiert wird. Fur 
jede Fernbedienung Fx ist in dem Basisgerat BG der zuletzt 
gesendete Zahlercode Zx als Referenzcode RZl, ... RZx, ... 
RZn hinterlegt . Nach Auslosen des Startvorgangs durch 
Betatigen des Bedienelements 24, Schritt 121, wird in 
Ubereinstimmung mit dem ersten Ausf uhrungsbeispiel die 
Response Rx berechnet. Der Zahlercode Zx wird urn Eins 
erhoht. In dem Codewort CWx ist neben der Response Rx und 
der Kennung Kx der Zahlercode Zx verschlusselt enthalten. 
Der Sender 22 sendet das Codewort CWx an den 
Sender/ Empf anger 12, Schritt 123. Wiederum filtert der 
Rechner 16 aus dem empfangenen Codewort CWx die Kennung Kx, 
anhand derer er den der Fernbedienung Fx zugehorigen 
Referenzcode RZx ausliest, Schritt 125. Nachfolgend wird der 
Zahlercode Zx mit dem Referenzcode RZx verglichen, Schritt 
127. Da in dem Basisgerat BG der zuletzt gesendete 
Zahlercode Zx als Referenzcode RZx gespeichert ist, weichen 
bei einer ordnungsgemafien Betatigung der Fernbedienung Fx 
Zahlercode Zx und Referenzcode RZx voneinander ab . Stimmen 
sie jedoch uberein, wird abgebrochen, Schritt 129. Eine 
Zugangsberechtigung erfolgt nicht. Andernfalls ermitceit das 
Basisgerat BG wie bereits fur das erste Ausf uhrungsbeispiel , 
die Sollresponse Sx, Schritt 131. Stimmen Response Rx. und 
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Sollresponse Sx nicht uberein, Schritt 133, so wird 
abgebrochen, Schritt 135. Andernfalls wird die Berechtigung 
zur Einleitung eines Of fnungsvor gangs gegeben, Schritt 137. 

Als alternatives zweites Ausf uhrungsbei spiel wird der 
Zahlercode Zx in der Fernbedienung Fx verschlusselt . Zur 
Ermittlung des Ref erenzcodes RZx ist diese Verschliisselung 
adressiert im Basisgerat BG abzulegen. Fiir den Zahlercode Zx 
ist nur von Bedeutung, da£ er sich mit jeder Betatigung der 
Fernbedienung fx verandert, ob durch eine Zahlerf unktion 
Oder einen sonstigen Algorithmus , ist nicht wesentlich. 

Die beiden Ausf iihrungsbeispiele lassen sich auch dahingehend 
kombinieren, da£ beispielsweise im Ablauf gemafi Figur 4 die 
Abfrage nach Schritt 111 durchgefuhrt wird. Dadurch la£t 
sich die Sicherheit gegenuber unberecht igten 
Of f nungsversuchen weiter erhohen. 

Die nicht naher ausgefiihrte Challenge-Response-Prozedur 
erfolgt vorzugsweise niederf requent im Nahbereich des zu 
betretenden Raumes, beispielsweise ein Kraf tf ahrzeug . Der 
Sender 22 hingegen sendet ein hoherf requentes Signal, das 
eine groEere Reichweite zulaSt . Ein Empf anger im 
hoherf requenten Bereich ist fiir die Fernbedienung Fx nicht 
vorzusehen. Der Algorithmus zur Verschliisselung der 
Challenge Cx, urn die Response Rx zu erhalten, ist 
vorzugsweise so einfach auszufuhren 7 daS dieser auch in 
einem Mikrocont roller implement iert werden kann. 
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Anspruche 

1. System zur Kontrolle der Zugangsberechtigung , 

- mit einem Basisgerat (BG) , das ein Codewort (CWx) 
empfangt, das eine Response (Rx) enthalt, die ein Rechner 
(16) mit einer Sollresponse (Sx) vergleicht, wobei eine 
Zugangsberechtigung bei Ubereins t immen von Response (Rx) und 
Sollresponse (Sx) erfolgt, 

- mit zumindest einer Fernbedienung (Fl, ... Fx, ... Fn) , 
die das Codewort (CWx) sendet, dadurch gekennzeichnet, daS 
in der Fernbedienung (Fl, ... Fx, ... Fn) eine vom 
Basisgerat (BG) gesendete Challenge (Cx) gespeichert ist zur 
Generierung des Codewort s (CWx) . 

2. System nach Anspruch 1, dadurch gekennzeichnet , da£ die 
Sollresponse (Sx) in Abhangigkeit von einer in der 
Fernbedienung (Fl, ... Fx, ... Fn) hinterlegten und im 
Codewort (CWx) enthaltenen Kennung (Kl, ... Kx, ... Kn) 
gebildet ist . 

3. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dafc die Challenge (Cx) in dem Basisgerat 

(BG) gespeichert ist. 

4. System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, da£ die im Basisgerat (BG) hinteriegte 
Challenge (Cx) dann geldscht ist, wenn die Anzahl fehlender 
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Ubereinstimmung von Response (Rx) und Sollresponse (Sx) 
einen vorgebbaren Grenzwert (G) ubersteigt . 

5. System nach einem der vorhergehenden Anspruche , dadurch 
gekennzeichnet, dafi im Codewort (CWx) ein Zahlercode (Zx) 
enthalten ist, der von dem Basisgerat (BG) mit einem 
Referenzcode (RZx) verglichen ist . 

6. System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, da£ der Zahlercode (Zx) bei Betatigung eines 
Bedienelements (24) der Fernbedienung (F) , ... Fx, ... Fn) 
verandert ist . 

7. System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, daS als Referenzcode (RZx) ein gesendeter 
Zahlercode (Zx) verwendet ist. 

8. System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, da£ der Zahlercode (Zx) verschliisselt in dem 
Codewort (CWx) enthalten ist. 

9. System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, da£ die Ubertragung des Codeworts (CWx) 
hochfrequent und die Ubertragung der Challenge (Cx) 
niederf requent erf olgt . 
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